Nova Lei De Proteção Dados e a Auditoria Interna

LGPD – Lei Geral de Proteção de Dados.

LGPD significa Lei Geral de Proteção de Dados – a nova lei nº 13.709/2018, semelhante à GDPR, amplia o marco civil da internet e estabelece parâmetros de proteção ao cidadão nos processos de coleta, retenção, utilização e exclusão de dados pessoais.

Certamente, os profissionais de Auditoria Interna e TI, Governança Corporativa e Compliance, e até mesmo de TI devem estudar o tema com cuidado. Novos desafios profissionais surgem na era do Big Data.

GDPR

A Lei de Dados é sobretudo inspirada na GDPR (General Data Protection Regulation), lei européia com a mesma finalidade.

A GDPR já provocou profundas mudanças em empresas com operação na Europa e já podemos ver algumas dessas mudanças aqui.

Para citar alguns exemplos da aplicação da lei na Europa: Whatsapp, Facebook e Google já possuem funções de controle privacidade contendo explicações de como as informações são utilizadas, revisão de consentimento e até mesmo download dos dados pessoais cadastrados nas plataformas.

Objetivos

  • Clareza: o cidadão tem o direito de ser informado com clareza quais são os dados coletados e como eles serão utilizados;
  • Classificação dos dados: dados pessoais e dados pessoais sensíveis;
  • Papéis e Responsabilidades – a nova lei define diretos e deveres para cada um dos envolvidos: titular, controlador, processador;
  • Consentimento: informações só poderão ser coletadas, controladas ou processadas com o consentimento do titular.

Principais exigências da nova lei

  • Solicitação de confirmação da existência de dados pessoais;
  • Acesso aos próprios dados.
  • Possibilidade de correção dos dados: informações incompletas, inexatas ou desatualizadas;
  • Anonimizar, bloquear ou excluir dados tratados indevidamente;
  • Portabilidade dos dados para outra empresa;
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revogação do consentimento.

Dados Pessoais

Dados pessoais são características únicas do indivíduo como CPF, RG, data de nascimento etc.

Estes dados são o foco da nova lei, porém algumas implicações legais deverão ser consideradas. Por exemplo: uma situação conflitante em que o cidadão exige a exclusão dos dados mas uma outra lei exige a retenção ou até mesmo a divulgação compulsória daquela informação.

Alguns dados não são estritamente pessoais, mas, quando correlacionados permitem a identificação de um indivíduo. Desta forma, juntando alguns atributos como idade, sexo, endereço, número de telefone ou e-mail é possível identificar alguém sem saber necessariamente o seu CPF.

Dados sensíveis

Dados sensíveis são informações que possam trazer algum tipo de constrangimento quando divulgadas sem autorização. Quando mal controlados, esses dados tem potencial de utilização para atacar, discriminar ou constranger outros (bullying). Alguns exemplos de dados sensíveis: Crença, orientação sexual, histórico de saúde.

Preferências pessoais como hábitos de compra, histórico de localização são amplamente explorados em campanhas de marketing digital. Normalmente presente em cookies, esses dados também passarão a ser protegidos pela lei de dados. O marco civil da internet, lei 12965, foi o pontapé inicial nessa jornada. A lei de acesso à informação (12.527/2011) é também revisitada nessa nova legislação.

Consentimento de uso

A Organização deverá estar preparada para solicitar o consentimento de uso de dados pessoais, indicando claramente o objetivo da utilização.

Este consentimento poderá ser revisado (ampliado ou reduzido), delimitado ou até mesmo revogado a critério do indivíduo dono dos dados.

Forget my Data

Esqueça meus dados! Amparados pela nova lei de proteção de dados, os consumidores terão o direito de solicitar a exclusão de dados pessoais a qualquer momento.

A exclusão de dados pessoais poderá ser parcial ou total.

Uma prática comum em Tecnologia da Informação é a exclusão lógica de informações. Ao invés de realmente excluir o dado, ele é marcado com uma flag de inativação. No entanto, o dado continua lá e pode ser “reativado” à qualquer momento. Este tipo de exclusão fake terá de ser revisto, remodelado, e pode alterar completamente a lógica e o código fonte de algumas aplicações.

Data Protection Officer

DPO ou Data Protection Officer será o profissional responsável por garantir o cumprimento da nova lei de proteção de dados pessoais. Consequentemente, novas oportunidades de trabalho surgirão para profissionais relacionadas à riscos, controles internos e segurança da informação.

Além de conhecimento técnico serão necessárias ferramentas tecnológicas para auxiliar a jornada de LGPD:

  • Data Discovery
  • Data Quality, Integrity & Cleansing
  • Data Classification
  • Data Loss Prevention

A Microsoft já adotou medidas para incluir essas ferramentas na nuvem do Office 365, como por exemplo o Security & Compliance Center.

ANPD

Por fim, tudo isso precisará de fiscalização. A Autoridade Nacional de Proteção de Dados será o orgão governamental responsável por fiscalizar a aplicação da nova lei de dados. Assim sendo, a agência poderá inclusive aplicar multas quando identificar violações da lei.

Big Data: Volume, Variedade e Velocidade

Big Data é um termo utilizado para se referir aos métodos de estruturação, armazenamento e disponibilização de grandes dados.

Essa é uma definição simplista e para quem busca começar a entender o assunto. Tenha em mente o tema é muito mais complexo e abrangente.

O termo Big Data pode ser melhor entendido analisando-se os seus três atributos principais, mais conhecidos como: os 3 V´s do Big Data.

Volume e Armazenamento

O atributo principal do Big Data é o volume. Aliás, vem daí o big (grande em inglês). A quantidade de dados gerados hoje é impressionante! A cada segundo, os sistemas de informação geram milhões e milhões de registros.

Veja um exemplo cotidiano: imagine-se uma viagem de carro utilizando o aplicativo Waze no celular. Seu aparelho está registrando tudo:

  • Campo magnético (bússola);
  • Acelerômetro (posição do celular);
  • Geolocalização, ponto de partida, distância, ponto de chegada;
  • Velocidade média, mínima, máxima, tempo de parada, mudanças de rota, desaceleração, aceleração e sentido.

Agora imagine todos os usuários que estão fazendo o mesmo trajeto (ou parte dele)! A correlação de todas essas informações permite a predição do melhor caminho e do tempo estimado com uma pequena margem de erro. Onde ficam todos estes dados? Qual o tamanho deles?

A capacidade de armazenamento dobra em pouquíssimo tempo comprovando a lei de Moore. Você viu isso com os pendrives: Megabytes, Gigabytes, Terabytes e por aí vai…

Variedade

Nem sempre os dados estão estruturados, isto é, em bancos de dados relacionais com chaves primárias e relacionamento entre tabelas.

No ambiente corporativo, as informações importantes também trafegam fora dos sistemas e em meios diversos como: arquivos diversos, vídeos, áudios, imagens, planilhas, e-mails e mensagens em aplicativos.

Com a popularização da tecnologia móvel, os smartphones estão repletos de sensores e ávidos por dados: campo magnético, acelerômetros, dados biométricos, geolocalização, temperatura, altitude – vale tudo! Tudo! Inclusive dados pessoais, muitas vezes sensíveis como: preferências de compra, históricos de pesquisas e acessos, contatos e etc.

Velocidade dos Dados

A demanda por velocidade está tanto na coleta quanto no consumo da informação. Dados são gerados, coletados, processados e monitorados em tempo real ou com uma pequena defasagem de tempo. A evolução dos padrões de rede, protocolos de comunicação, computação em nuvem e novos meios de transmissão permitem tudo isso. Além disso, quanto mais rápido a informação chega até a gestão, mais rápida é a tomada de decisões.

Ferramentas comuns em Big Data: Hadoop, Spark, Tensorflow, Databricks, Presto, S3, Python.

O Big Data traz novos desafios para a Auditoria Interna na TI e o monitoramento contínuo de riscos:

  • Computação distribuída: balanceamento de servidores, barramento ethernet de rack, disponibilidade, tolerância à falhas;
  • Arquitetura: on premise, nuvem (cloud), nuvem híbrida;
  • Otimização: indexação, pré-ordenação, compressão, normalização, desnormalização;
  • Modelos: relacionais, não relacionais, hierárquicos;
  • Estrutura de Dados: colunares, alinhados;
  • Privacidade: mascaramento, anonimização, “forget my data”, portabilidade, compliance com a lei de dados – LGPD / GPRD.

Referências sobre Big Data

Big Data – Técnicas e tecnologias para extração de valor dos dados (Rosangela M.)